Windows 2000服务器入侵前兆检测方法技巧

核心提示： 二、对于FTP等服务入侵的前兆检测根据前面对于WWW服务入侵前兆的检测，我们可以照样来检测FTP或者其他服务（POP、SMTP等），Windows 2000服务器入侵前兆检测方法技巧(3)，以FTP服务来举例，对于FTP服务，需要审核记录的基本事件包括：审核登录事件、审核帐户登录事件、帐户

二、对于FTP等服务入侵的前兆检测

根据前面对于WWW服务入侵前兆的检测，我们可以照样来检测FTP或者其他服务（POP、SMTP等）。以FTP服务来举例，对于FTP服务，通常最初的扫描或者入侵必然是进行帐号的猜解。对于IIS提供的FTP服务，也跟WWW服务一样提供了详尽的日志记录（如果使用其他的FTP服务软件，它们也应该有相应的日志记录）。

我们来分析这些日志：

2002-03-10 06:41:19 192.168.21.130 administrator [36]USER administrator 331
2002-03-10 06:41:19 192.168.21.130 - [36]PASS - 530

这表示用户名administrator请求登录，但是登录失败了。当在日志中出现大量的这些登录失败的记录，说明有人企图进行FTP的帐号猜解。这就是从FTP服务来入侵的入侵前兆。

分析这些日志的方法也跟前面分析WWW服务的日志方法类似。因为FTP并不能进行帐号的枚举，所以，如果发现有攻击者猜测的用户名正好和你使用的帐号一致，那么就需要修改帐号并加强密码长度。

三、系统帐号密码猜解入侵的前兆检测

对于Windows 2000服务器来说，一个很大的威胁也来自系统帐号密码的猜解，因为如果配置不佳的服务器允许进行空会话的建立，这样，攻击者能够进行远程的帐号枚举等，然后根据枚举得到的帐号进行密码的猜测。即使服务器拒绝进行空会话的建立，攻击者同样能够进行系统帐号的猜测，因为基本上很多服务器的系统管理员都使用administrator、admin、root等这样的帐号名。那些黑客工具，比如“流光”等，就可以进行这样的密码猜测，通过常用密码或者进行密码穷举来破解系统帐号的密码。

要检测通过系统帐号密码猜解的入侵，需要设置服务器安全策略，在审核策略中进行记录，需要审核记录的基本事件包括：审核登录事件、审核帐户登录事件、帐户管理事件。审核这些事件的“成功、失败”，然后我们可以从事件查看器中的安全日志查看这些审核记录。